Добрый день! Сегодня хотелось бы Вам рассказать о том что такое “парольная политика” и с чем ее едят.
Давайте начнем с самого простого, насколько смешно это б не казалось.
Что такое пароль?
Пароль — это слово или фраза которая в связке с логином однозначно подтверждает личность и полномочия определенного человека. Пароли также используют для шифрования какой либо информации.
И что же из этого следует, что если злоумышленник узнает, например пароль от вашего сервера и если не дай бог это пароль от пользователя “root” то можно считать все данные, которые у вам хранятся на сервере уже находятся у вашего конкурента.
Исследование показали, что среднестатистические пользователи при отсутствии парольной политики в организации выбирают легкие пароли такие как (123, qwerty, root, дата рождение или домашний адрес). Пароли такого вида являются легкими для подбора злоумышленниками, и являются очень большой брежью в Вашей безопасности.
Приведу Вам стандартные правила политики безопасности cогласно стандарту PCI DSS 1.2:
1. Срок действия пароля – 90 дней и не более то время когда пароль действует.
2. Длина пароля – жестко ограничить длину пароля – не менее 7 символов.
3. Пароль должен содержать как цифровые, так и буквенные символы.
4. Каждый новый пароль должен отличаться от предыдущих.
5. При 6 неудачных попытках доступа, логин пользователя блокируется на 30 мин.
6. После 15 мин простоя сессия пользователя блокируется, а соединение разрывается.
Установка Парольной Политики в ОС LINUX:
В OS Linux требования к паролю задаются в файле /etc/login.defs.
Установите значение PASS_MAX_DAYS, равное 90 а PASS_MIN_DAYS в 0 тогда первое правило будет выполнено.
Для настройки длины пароля и его сложности в файле /etc/pam.d/common-password необходимо добавить строчку: password required pam_cracklib.so dcredit=-1 lcredit=-1 minlen=7 (указывает на то что в пароле должно быть символов и среди них должна быть хотя бы одна цифра или буква) или можно использовать следующие правило: password required pam_cracklib.so dcredit=-1 lcredit=-1 lcredit =-1 minlen=8 ( 8 символов и хотя бы одна заглавная буква).
Для выполнения требования уникальности пароля в файле password required pam_unix.so md5 добавьте параметр remember=4 который указывает на то что пароль не должен совпадать с теми которые уже были в прошлые 4 раза.
Для блокирования логина после некоторого количества неудачных попыток: в файле /etc/login.defs установите значение для переменных LOGIN_RETRIES и LOGIN_TIMEOUT 6 и 1800 соответственно.
Для выполнения требования разрыва сессии пользователя в файле /etc/ssh/sshd_config установите значение для переменной ClientAliveInterval, равноe 900.
